Koniec biuletynów: witamy koszmar Microsoft Security Updates Guide

Strona głównaKoniec biuletynów: witamy koszmar Microsoft Security Updates Guide
12.04.2017 11:32
Koniec biuletynów: witamy koszmar Microsoft Security Updates Guide

Drugi wtorek kwietnia przyniósł ostatnie w historii łatki dlaWindows Visty, oraz początek nowego sposobu informowania o lukach woprogramowaniu. Zawierające listy poprawek biuletyny bezpieczeństwa,do których przywykliśmy przez tyle lat, zniknęły. Zamiast nichmamy nowy portal, Security Updates Guide, w którym znaleźć to coważne jest sporymwyzwaniem, a informacje o wydaniu to garść ogólników.

Wprowadzenie Security Updates Guide było już kilkukrotnieprzekładane, według oryginalnych planów portal ten miał ruszyćjuż w styczniu – i szczerze mówiąc, szkoda, że nie zostaliśmyprzy przekładaniu na wieczne nigdy. Wpisna Microsoft Security Response Center trąci typową dla Applelakonicznością: wydajemy aktualizacje bezpieczeństwa abydostarczyć dodatkowe zabezpieczenia przeciwko złośliwymnapastnikom. Rekomendowaną najlepszą praktyką jest włączenieautomatycznych aktualizacji.

Lepiej nie wiedzieć, co dolega

Z informacjio wydaniu też się za wiele nie dowiecie. Mamy listęoprogramowania, które otrzymało łatki (Internet Explorer,Microsoft Edge, Windows, Microsoft Office, Visual Studio for Mac,.NET Framework, Silverlight i Flash Player), oraz kilka ogólnikowychzdań o zmianach w procedurach aktualizacji. Nie ma czym sięprzejmować, prawda?

A jednak jest. Jak już zaczniemy bawić się Security UpdatesGuide (po zaakceptowaniu warunków korzystania z usługi, cokolwiekby w nich nie było), znajdziemy łącznie 650 łatek na wszystkiesystemy i wersje oprogramowania, a licząc po unikatowychidentyfikatorach CVE – 45 odkrytych i załatanych luk. Można je naszczęście posortować po ich istotności. Przyjrzymy się bliżejgłównie krytycznym.

Security Update Guide zamiast normalnych biuletynów
Security Update Guide zamiast normalnych biuletynów

Microsoft Edge zagrożony jest przez CVE-2017-0093i CVE-2017-0200.Pierwszy to błąd w silniku skryptowym pozwalający na uszkodzeniepamięci i w konsekwencji zdalne uruchomienie kodu, czy to przezstrony internetowe, czy dokumenty Office zawierające kontrolkiActiveX. Drugi dotyczy niepoprawnego dostępu do obiektów w pamięci,wiadomo w jakim celu.

Internet Explorer dostał łatki dla CVE-2017-0201i CVE-2017-0202.Pierwsza to luka w silnikach skryptowych JScript i VBScript,pozwalająca na uszkodzenie pamięci i zdalne uruchomienie kodu,także przez osadzone w dokumentach kontrolki ActiveX, druga dotyczyniepoprawnego dostępu do obiektów pamięci – i oczywiście takżezdalne uruchomienie kodu.

Dalej mamy poprawkę dla Microsoft Office i WordPada(CVE-2017-0199),która dotyczy błędu w przetwarzaniu dokumentów RTF (sam Microsoftpisze jedynie o specjalnie spreparowanych plikach),pozwalającego na zdalne uruchomienie kodu. Co ciekawe, w wypadkuwbudowanego w system WordPada uznano zagrożenie to nie za krytyczne,ale „ważne”. Faktycznie, mało krytyczne, że korzystając zluki 0-day w systemowej aplikacji dropper w Visual Basicu pobierasobie bankowego trojana Dridex.

Niewiele wiadomo o krytycznejluce w Outlooku CVE-2017-0106.Ot wygląda na to, że wysyłając odpowiednio spreparowanego e-mailamożemy zmusić tego klienta poczty do uruchomienia własnego kodu.Nie, nie trzeba żadnych załączników, wystarczy otworzyć e-mail wskrzynce odbiorczej.

Ucieczka z Hyper-V na cztery sposoby

Mamy też oczywiście sporociekawych luk w samym Windowsie. Creme de la creme to tutajCVE-2017-0162i CVE-2017-0163,które dotyczą hiperwizora Hyper-V. Z maszyny wirtualnej możnauruchomić kod, który poprzez błąd w obsłudze wirtualnego switchasieciowego doprowadzi do wykonania dowolnego kodu na fizycznymhoście. Do tego mamy też CVE-2017-0180i CVE-2017-0181,które również dotyczą takiej ucieczki z maszyny wirtualnej. Ityle po przekonaniu o bezpieczeństwie płynącym z wirtualizacji.

CVE-2017-158dotyczy błędu w silniku skryptowym VBScript, pozwalającego nazdalne uruchomienie kodu przed wszelkie programy wykorzystującesilnik renderujący Internet Explorera, CVE-2017-0205dotyczy zaś uszkodzeń pamięci w Microsoft Edge, też pozwalającychna zdalne uruchomienie kodu. Dlaczego zostały one przypisane do lukw Windowsie, a nie w samych przeglądarkach – trudno powiedzieć.Ot taki bałagan.

Mamy też luki pozwalające nazdalne uruchomienie kodu przez .NET Framework (CVE-2017-0160)oraz cały zbiór atrakcji dla Flash Playera, opisanych w biuletynieAdobeAPSB17-10, tym razem jedynie siedem luk RCE.

Dla mnie ważne, dla ciebie też ważne

Warto też wspomnieć o błędzie CVE-2017-0210w Internet Explorerze, związanym z niewłaściwym stosowaniempolityk uruchamiania kodu między domenami. Możliwe do osiągnięciaw ten sposób podwyższenie uprawnień jest aktywnie exploitowane,dla Microsoftu to jednak tylko „ważny” problem.

Jako „ważne” określono też błędy w win32 – dwapozwalające na wyciek informacji z kernela NT (CVE-2017-0058i CVE-2017-0188)i jeden zapewniający podwyższenie uprawnień uruchamianego kodu(CVE-2017-0189).Informacje wyciekają też z Windowsa przez bibliotekę libjpeg(CVE-2013-6629).Tak, chodzi o lukę z 2013 roku, załataną na Linuksie jakieścztery lata temu.

Inna ciekawostka, oznaczona jako 2017-2605,to błąd w filtrze EPS w Microsoft Office, pozwalającym na zdalneuruchomienie kodu. Tutaj luki nie załatano, Microsoft po prostudomyślnie włączony filtr dla popularnego przecież formatuwyłączył. Jak ktoś koniecznie musi korzystać z plików EPS wOffice, to czeka go zabawaz Rejestrem.

Jak widzicie, informacje o wydaniu łatek nawet w przybliżeniunie poruszają powagi zagrożeń, a samodzielne rozpoznanie sytuacjipoprzez ten koszmarny portal, który nawet nie potrafi porządniesortować, grupować i filtrować danych, zajmuje znacznie więcejczasu, niż klasyczne zapoznanie się z biuletynami.

Wyłączyliśmy łatki dla Ryzena, wyłączyliśmy łatki dla Carizzo

By dołożyć łyżkę dziegciu do tej beczki dziegciu, wspomnijmyo ciekawym efekcie ubocznym pakietów łatek KB4015549, KB4015546,KB4015550 oraz KB4015547 przeznaczonych dla Windows 7 i 8.1. Zjakiegoś powodu blokują one otrzymywanie aktualizacji przez WindowsUpdate na komputerach z procesorami AMD Carizzo. Problem ma byćrozwiązany w przyszłości. Może się komuś Carizzo z Ryzenempomyliło?

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (43)